IDE插件和AI工具正成为投毒攻击的新“蓝海”

当大多数开发者和安全团队仍把注意力集中在NPM、PyPI等传统组件仓库时，攻击者已经悄然开辟了新的“蓝海”。

2月28日，墨菲安全研究院发布了《2025年度软件供应链投毒风险研究报告》。

报告中明确指出，攻击边界正从传统仓库向更广泛的开发者生态“外延”。其中，IDE插件与AI工具链已成为值得警惕的新兴攻击面。

开发者日常使用的VSCode、Chrome等工具中的插件和扩展，因其权限高、更新频繁且易于被信任，正成为投毒攻击的完美载体。

报告揭示，这类攻击往往直接面向海量普通用户，危害范围更广。

典型案例：浏览器插件中的“隐形收费站”

报告记录了发生在2025年11月的两起针对浏览器插件的典型投毒事件：

Safery: Ethereum Wallet 插件：攻击者在插件代码中，直接嵌入了自己控制的硬编码助记词。当用户使用该插件进行Sui交易签名时，会隐蔽地泄露用户的种子短语，从而导致钱包完全控制权的丧失。
Crypto Copilot Chrome扩展：该插件则更为直接。它会在用户进行Solana交易时，偷偷窃取交易金额的一部分（报告披露为最小0.0013 SOL或0.05%），并将其转移到攻击者控制的钱包地址。这无异于在用户的交易链路中设置了一个“隐形收费站”。

报告分析认为，插件市场相对宽松的审核机制、研发人员对插件的高度信任，以及企业传统EDR、杀毒软件对此类“桌面资产”的覆盖盲区，共同构成了这一攻击面的结构性脆弱性。

随着大模型应用的爆发，AI开发生态迅速成为新的高风险攻击面。攻击者正利用AI开发过程中的新特性，创造全新的投毒向量。

典型案例：“AI幻觉投毒 (Slopsquatting)”

报告首次详细阐述了“AI幻觉投毒”这一新型攻击模式。其原理是：

报告中以graphalgo为例，当AI误推荐这个包作为图算法库时，提前布局的攻击者便能成功投毒。这标志着攻击者已开始利用AI本身的“不确定性”来制造安全风险。

此外，针对AI开发生态的攻击还包括大量仿冒知名AI平台SDK的行为，例如报告中提到的deepseeek (仿冒DeepSeek)、@majiajun7/claude-code (仿冒Claude) 等，它们的目的都是在开发者调试阶段窃取API密钥和源代码。

从NPM到VSCode，从PyPI到Chrome，再到新兴的AI工具链，软件供应链的攻击边界正在以前所未有的速度向外延伸。

报告的核心结论之一就是“边界外延”，这也警示我们，软件供应链的每一个可信任环节，都已成为潜在的攻击入口。

企业和开发者必须重新审视自己的安全防御体系，它是否还仅仅停留在保护服务器和网络？是否覆盖到了每一位研发人员的桌面环境？是否对AI带来的新型风险有所准备？

这份《2025年软件供应链投毒风险研究报告》对新兴攻击面的风险、典型案例和演变趋势进行了深入分析，并为企业提供了包括“强化研发人员终端安全管控”、“建立开源资产管理台账”在内的系统性治理建议。

扫描下方二维码，可获取完整版PDF报告。